Securité API Jeedom

Bonjour,
Suite à la lecture de l’article de @loic du 10 janvier 2022 sur la sécurité Jeedom.
Introduction Jeedom 4.2 : la sécurité
Savez-vous si la partie Clef API est effective, pour le moment, excepté pour le plugin Camera, je peux toujours utiliser la Clef API du core.
Avez-vous des info, si cela va être effectif bientôt ?
Bonne journée

En 4.2.14, dans la section « Reglages > Systeme > Configuration > API », j’ai ceci :

Donc oui, c’est disponible.

Après si ta question, est savoir si c’est ‹ forcé ›, lors d’une mise à jour vers 4.2 et supérieur, là je ne sais pas te dire.

Dans tous les cas si tu es en 4.2 ou +, mon conseil mets à jour tes appels aux API dès maintenant, c’est pour ton bien :wink:

Bonjur,

Super, merci, c’est ce que j’ai également, effectivement comme je dois créer des appels aux API, je vais le faire avec la nouvelle méthode.

Ma question était mal formulée, et effectivement ma question est de savoir quand l’ancienne méthode va être inactive.

Bonne journée

Moi j’ai lu ça:

Avant avec la clef du core vous pouviez appeler des fonctions API d’un plugin, ce n’est désormais plus possible. Il faut maintenant obligatoirement utiliser la clef API du plugin.

Et j’ai du faire la migration. Donc je pense qu’il n’est plus possible d’utiliser la clé core pour un appel d’API de plugin. Comme je n’avais que mon IPX 800 qui l’utilisait sur ses pushs je n’ai pas plus de retour que ça.

Alors, dans mon cas, je peux utiliser les deux méthodes, j’ai essayé avec le plugin zigbee.

@Loic , aurais tu la possibilité de nous confirmer si ce qu’observe @Ocbsd est un comportement attendu ou non ? je pense que tu pourras trancher très facilement ! :grin:

Je peux pas dire j’ai bien suivi le sujet depuis le début mais il y a trop peu de détails pour que je puisse intervenir et répondre

Bonjour @Loic
Je vais essayé de donner plus de détail.
Jeedom tourne avec un raspberry PI 4
La santé du Jeedom est la suivante :
Santé 1
Santé 2
Je teste en ce moment le Plugin Weebhook d’Octoprint.
Pour une même action je peux soit envoyer, pour une execution de tâche à Jeedom :
1-« http://192.168.1.52/core/api/jeeApi.php?apikey=#API-JEEDOM#&type=cmd&id=8492 »
2-« http://192.168.1.52/core/api/jeeApi.php?apikey=#API-PLUGIN-ZIGBEE#&plugin=zigbee&type=cmd&id=8492 »
Hors je pensai qu’avec la mise à jour de Jeedom, il n’y avait que la seconde possibilité de possible,
Si vous souhaitez plus d’infos, je suis à votre disposition,

Dans configuration j’ai également coché :


Coché ou non, cela donne le même résultat, par contre je n’ai pas redémarré Jeedom après la modification.

Bon Ok j’ai trouvé, Je n’ai pas paramétré La page API correctement :
Dans le cas du plugin Zigbee, si on souhaite uniquement que l’appel à l’API se fasse qu’avec la clef API Zigbee il faut :
Désactiver l’appel API du Core


Décocher l’accés restreint de l’API

Et sans à avoir à redémarrer Jeedom
A la lecture de l’article de @Loic , j’ai cru qu’il n’y avait pas d’alternative à renseigner la clef API du Plugin, et que la modification était faite d’office.

Donc voilà, si cela peut aider quelqu’un, merci à tous

1 « J'aime »

Bonjour,
Et pour jeelink c’est valable aussi ?
On pourrait donc passer en 4.2 et continuer d’utiliser la clé du core pour lier avec une autre jeedom qui n’aurait pas encore fait son passage en 4.2 ?

C’est normal tu appels le type cmd d’un équipement de type ZigBee la clef api du core peut donc l’appeller (elle a tous les droits sur les type d’action core) ainsi que la clef api ZigBee car la commande et de type ZigBee et donc lui appartient

Non sinon on vous aurez pas dit que c’était pas possible…

:slight_smile: les choses auraient pu évoluer :innocent: on ne sait jamais
Merci d’avoir confirmé.